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^3 (57) Abstract: The invention relates to a method and device for providing security functions during the transmission of data from 
and to a subscriber terminal of a mobile communications network. A real-time analysis of the data flow from and to the subscriber 
terminal is carried out in a device of a network node of the mobile communications network during which data with contents defined 
beforehand by the subscriber or by a network operator / provider are identified and processed. This results in protecting the terminal 
and subscriber's devices connected thereto from external attacks in the best way possible. 
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Content- und Security Proxy in einem Mobilkommunikationssystem 

Die Erfindung betrifft ein Verfahren und eine Einrichtung zur Bereitstellung von 
Sicherheitsfunktionen bei der Ubertragung von Daten von und zu einem 
Teilnehmerendgerat eines Mobilkommunikationsnetzes. 

Aktuelle und neue Datendienste bieten den Teilnehmern von 
Mobilkommunikationsnetzen einen direkten Zugang zum Internet und anderen 
offentlichen Datennetzwerken. Dadurch ist das fur den mobilen Einsatz verwendete 
Mobiltelefon und mit diesem betriebene Zusatzgerate, wie z.B. ein Notebook oder 
Personal Digital Assistent, ahnlich wie auch bei einem festnetzbasierten 
Internetzugang, den verschiedensten Angriffen Drifter ausgeliefert. 

Die Aufgabe der Erfindung ist es, ein Verfahren und eine Einrichtung zur 
Bereitstellung von Sicherheitsfunktionen bei der Ubertragung von Daten von und zu 
einem Teilnehmerendgerat eines Mobilkommunikationsnetzes anzugeben, um das 
Teilnehmerendgerat und angeschlossene oder mit diesem kombinierte Gerate 
wirkungsvoll zu schutzen. 

Diese Aufgabe wird durch die Merkmale der unabhangigen Patentanspruche gelost 

Der Kern der Erfindung liegt darin, in einem Mobilfunknetz individuell pro 
Mobilfunkanschluss und Teilnehmer einen personalisierbaren Sicherheitsdienst 
anzubieten. 
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Der Teilnehmer kann seine Sicherheitseinstellungen interaktiv und dynamisch 
anpassen 

Vom Netzwerkbetreiber konnen eine Reihe von sinnvollen Standard-Einstellungen 
fur die Filterfunktionen, z.B. Virenschutz, Schutz vor Werbe-Mails, etc., vorgegeben 
sein. 

Die Schutzfunktion wird dabei von einer netzwerkspezifischen Einrichtung in Form 
einer Sicherheits- und Filtereinrichtung angeboten. Die generelle Schutzfunktion lasst 
sich daruber hinaus mit einer Speicherfunktion koppeln, d.h. der Datenverkehr Teile 
davon werden temporar in der Einrichtung gespeichert und konnen vom Teilnehmer 
abgerufen werden. Somit kann die Sicherheits- und Filtereinrichtung zusatzlich die 
Funktion eines sogenannten Proxy ubernehmen. 'Proxy' bedeutet soviet wie 
'Stellvertreterdienst'. Proxies nehmen Anforderungen von einem Client, z.B. einem 
Endgerat, entgegen und geben sie, gegebenenfalls modifiziert, an das ursprungliche 
Ziel, z.B. einen Internetanbieter, weiter. Proxies konnen die durchgeschleusten 
Daten lokal ablegen und beim nachsten Zugriff direkt liefern. 
Damit wird gleichzeitig eine Performance-Steigerung erreicht da bestimmte Inhalte 
gepuffert werden konnen. 

ErfindungsgemaS konnen vom beschriebenen System folgende Schutzfunktionen 
angeboten werden: 

Eine Filterung des Datenverkehrs auf IP/TCP Basis in Form einer sogenannten 
Firewall Funktion. Femer das Filtern / Abwehren von Datenpaketen bestimmten 
Ursprungs (IP Adresse) bzw. Datenpaketen von und zu bestimmten Diensten (TCP- 
Ports). 



Eine Analyse des Dateninhalts auf bosartige oder sicherheitskritische Inhalte. Der 
gesamte Inhalt einer Datenverbindung wird analysiert und nach bestimmten Mustern 
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untersucht. Signaturen von Viren etc. werden aufgespurt und unschadlich gemacht, 
bevor sie das Endgerat des Teilnehmers erreichen. 

Eine Analyse des Dateninhalts auf unerwunschte Inhalte, z.B. in Form von Spam, 
Werbung oder anstoBigen Inhalten. Hierzu wird der gesamte Inhalt der Verbindung 
analysiert und vom Teilnehmer angegebener unerwunschter Inhalt wird ausgefiltert, 
z.B. zum Schutz von Kindern und Jugendlichen. 

Der Netzwerkbetreiber selbst kann die Mechanismen des Systems nutzen, um fur 
bestimmte Teilnehmer gezielt bestimmten Datenverkehr auszuschalten, z.B. 
kostenpflichtige Dienste, wenn Teilnehmer den Dienst nicht subskribiert hat. 

Die Filterfunktion fur den Dateninhalt kann sinnvoll und technisch mit den selben 
Mechanismen zusatzlich mit folgenden Funktionen angereichert werden. 

Z.B. ist relativ einfach eine Limitierung des Datentransfervolumens realisierbar. 
Hierzu wird der gesamte Verkehr, unter Umstanden getrennt nach kommendem und 
gehendem Verkehr, aufsummiert und weiterer Verkehr bei Uberschreiten eines vom 
Benutzer oder Betreiber vorgegebenen Limits unterbunden. 

Zusatzlich kann mit einer Komponente zur Berechnung der Entgelte die Budget- 
Einhaltung uberpruft werden. Die Teilnehmer bzw. der Betreiber kann eine 
bestimmte Obergrenze fur die Kommunikationskosten vorgeben. Bei Uberschreitung 
des festgelegten Budgets wird der Teilnehmer benachrichtigt und der Datenverkehr 
unterbunden. Damit ist eine effektive Kostenkontrolle und Kostentransparenz 
moglich. 

Weitere Funktionen konnen sinnvoll in das System integriert werden: 

Treten bestimmte Ereignisse ein, d.h. werden Angriffe erkannt, Spam-Mails gefiltert 
oder ahnliche Ereignisse vom System erkannt, erfolgt die Benachrichtigung des 
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Teilnehmers oder Netzbetreibers urn eine transparente Kontrolle der ausgefilterten 
Daten zu ermoglichen. 

Der Teilnehmer kann weiterhin administrieren, ob sein gesamter Verkehr uber das 
System geleitet wird oder nur selektiv, d.h. zu bestimmten Zeiten, nach 
entsprechenden Vorfallen oder bei Missbrauchsverdacht. 

GemaB einer Weiterbildung der Erfindung kann eine verteilte Realisierung der 
Filterfunktionen vorgesehen sein, d.h. die Sicherheits- und Filtereinrichtung ist nicht 
zentral in einem Netzknoten des Mobilkommunikationssystems vorgesehen, sondern 
verteilt oder individuell in mehreren Netzknoten. Damit wird die Last fur den 
einzelnen Knoten verringert. 

Dies Einrichtung des Systems kann 

(a) entweder raumlich oder netzwerktechnisch bedingt sein, d.h. Verteilung auf 
mehrere Netze oder Netzknoten, oder 

(b) funktional bedingt sein, z.B. spezielle Filterkomponenten fur bestimmte 
Dateninhalte, z.B. Email-Filter, Virenfilter, etc., oder 

(c) architektonisch oder softwaretechnisch bedingt sein, aufgrund z.B. einer 
Verwendung spezieller Hardware und Systemsoftware fur bestimmte 
Funktonen. 

Die Administration dieser zusatzlichen Funktionen kann jeweils zentral von einem 
bestimmten Knoten aus erfolgen. 

Ein Ausfuhrungsbeispiel der Erfindung wird nachfolgend anhand einer 
Zeichnungsfigur beschrieben. 

Figur 1 zeigt schematisch die technische Ausgestaltung des Systems. 
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Das System ist Teil eines Mobilkommunikationsnetzes 10, welches einer Vielzahl von 
Teilnehmerendgeraten 13 die Kommunikation mit anderen offentlichen Netzen, z.B. 
dem Internet 11, erlaubt. 

Ferner konnen an das Mobilfunkendgerat 13 angeschlossene, kombinierte Gerate 
14, wie z.B. PC, PDA, Smartphone, etc. vorgesehen sein, die eine komfortable 
mobile Internetnutzung ermoglichen. 

Innerhalb des Mobilkommunikationsnetzes 10, vorzugsweise innerhalb eines 
entsprechenden Netzknotens, wie z.B. einer Vermittlungsstelle MSG, ist die 
erfindungsgemaBe Sicherheits- und Filtereinrichtung 1 angeordnet, die 
erf indungsgemaB aus folgenden funktionalen Teilen bestehen kann. 

Die generelle Filterkomponente 2: 

Diese Komponente hat eine vom Teilnehmer / Netzbetreiber def inierbare variable 
Filterfunktion und untersucht in Echtzeit den zwischen dem Endgerat 13 des 
Teilnehmers und dem Internet 1 1 ausgetauschten Datenstrom 12. Der 
Teilnehmerverkehr 12 in beide Richtungen geht uber diesen Filter 2 und wird dort 
analysiert. 

Die Authentikationskomponente 3: 

Zur Benutzung der Sicherheits- und Filtereinrichtung 1 muss sich der Teilnehmer 
gegenuber dem System authentisieren. Damit wird sichergestellt, dass kein 
unautorisierter Zugriff auf z.B. die personlichen Einstellungen des Teilnehmers 
erfolgen. Die Authentikation kann im einfachsten Fall uber die Rufnummer MSISDN 
des Teilnehmers erfolgen. Sicherer und besser geschutzt wird der Teilnehmer mit 
einer zusatzlichen PIN oder einem Passwort. 

Gegebenenfalls kann ein kryptographisches Authentikationsverfahren benutzt 
werden, z.B. Zertifikate des Teilnehmers. 



Die Administrationskomponente 4: 
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Diese Komponente bildet die Schnittstelle zwischen dem System und dem 
Teilnehmer. Hier kann der Teilnehmer seine personlichen Einstellungen 
administrieren. Dies kann direkt tiber das Mobilfunksystem, das Internet oder 
festnetzbasierte Kunden-Schnittstellen des Netzbetreibers erfolgen. 

Die Datenbasis 5: 

Die Datenbasis 5 beschreibt, welche Daten durch die Filterkomponente 2 auszufiltern 
oder zu bearbeiten sind. Diese Datenbasis 5 kann vorteilhaft in vier Datenbanken 
aufgeteilt werden. Die erste Datenbank 6 enthalt die individuellen Filter und 
Einstellungen pro Teilnehmer. Die zweite Datenbank 7 enthalt die Filter und 
Einstellungen pro Mobiltelefon-Typ. 

Die dritte Datenbank 8 enthalt die netzbetreiberspezifischen Einstellungen und Filter, 
und die vierte Datenbank 9 enthalt die allgemeinen Einstellungen und Filter. 
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Patentanspruche 



1 . Verf ahren zur Bereitstellung von Sicherheitsfunktionen bei der Obertragung von 
Daten von und zu einem Teilnehmerendgerat eines Mobilkommunikationsnetzes, 
dadurch gekennzeichnet, 

dass in einer Einrichtung (1) eines Netzwerkknoten des 
Mobilkommunikationsnetzes (10) eine Echtzeit-Analyse des Datenstroms (12) 
von und zu dem Teilnehmerendgerat (13) durchgefuhrt wird, wobei Daten mit 
zuvor vom Teilnehmer oder einem Netzbetreiber / Provider definierten Inhalten 
erkannt und weiterverarbeitet werden. 

2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass der Datenverkehr 
von und zu definierten Absendem und Empfangern erkannt und weiterverarbeitet 
werden. 

3. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass die erkannten Daten selektiert und/oder isoliert und/oder 
geloscht und/oder dem Teilnehmer oder Netzbetreiber / Provider separat zur 
weiteren Verarbeitung zu Verfugung gestellt werden. 

4. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass eine Filterung insbesondere des IP/TCP basierten 
Datenverkehrs durchgefuhrt wird. 

5. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass das anfallende Datentransfervolumen auf ein vom 
Teilnehmer oder dem Netzbetreiber festgesetztes MaG limitiert wird. 
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6. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass die anfallenden Datenubertragungskosten auf ein vom 
Teilnehmer oder dem Netzbetreiber festgesetztes MaB limitiert wird. 

7. Verfahren nach einem der vorhergehenden Anspruche, dadurch 
gekennzeichnet, dass der Teilnehmer, Netzbetreiber oder Provider bei 
Erkennung von bestimmten Dateninhalten und/oder Absendern benachrichtigt 
wird. 

8. Einrichtung zur Bereitstellung von Sicherheitsfunktionen bei der Ubertragung von 
Daten von und zu einem Teilnehmerendgerat eines Mobilkommunikationsnetzes, 
umfassend eine Sicherheits- und Filtereinrichtung (1) mit folgenden 
Komponenten: 

eine Filterkomponente (2) zur Echtzeit-Analyse des Datenstroms von und zu 
dem Teilnehmerendgerat; 

einer Authentikationskomponente (3) zur Authentisierung des Teilnehmers 
gegenuber der Sicherheits- und Filtereinrichtung; 
einer Administrationskomponente (4) als Schnittstelle zum Teilnehmer; 
eine Datenbasis (5) zur Speicherung von teilnehmer- und 
netzbetreiberspezifischen Daten sowie von Sicherheits- und Filterfunktionen. 

9. Einrichtung nach Anspruch 9, dadurch gekennzeichnet, dass die Sicherheits- 
und Filterkomponente (2) in einem oder mehreren Netzknoten des 
Mobilkommunikationsnetzes (10) eingerichtet ist. 

10. Einrichtung nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass fur 
bestimmte Dateninhalte spezielle Fiiterkomponenten eingerichtet sind. 
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